33일차(3.30) chroot(change root) chcon(change context)과 restorecon SetUID, SetGID, 그리고 Sticky bit

📂네트워크&서버/🐧리눅스(Linux)

33일차(3.30) chroot(change root) chcon(change context)과 restorecon SetUID, SetGID, 그리고 Sticky bit

👩‍🎓인텔리감자🥔 2023. 4. 10. 18:39

  chroot(change root)
  관리자는 서버 시스템에 FTP나 HTTP, NFS 등의 서버 서비스를 설정해두고, 클라이언트들이 FTP나 Telnet, SSH, HTTP 등으로 서버에 연결해서 파일을 업/다운로드하게 하는데 FTP 서버인 경우 FTP 서버의 오픈 디렉터리 /var/ftpd/pub 디렉터리, HTTP인 경우 /var/www/html 디렉터리로 들어와서 cd ../나 ls ../ 해서 오픈된 pub나 html 디렉터리의 상위 디렉터리로 이동하거나 살펴보게 하면 보안상 문제가 될 수 있다.
  이럴 때 chroot를 사용하는데 이 명령어는 어느 디렉터리를 가상의 최상위 / 디렉터리로 만들어서 cd ../ 했을 때 더 이상 상위 디렉터리로 이동하지 못하게 해서 보안을 증진시킨다.

약화되었다.

SFTP는 파일 전송을 위한 프로토콜이지만, SSH 프로토콜을 기반으로 하므로, SFTP를 사용하면 파일 전송뿐만 아니라 SSH를 사용하여 호스트에 접속할 수도 있습니다.

따라서, SFTP를 사용하여 호스트에 접속할 수 있는데, 이 경우 SFTP 클라이언트 프로그램을 사용하여 호스트에 접속하고 로그인할 수 있습니다. SFTP 클라이언트는 호스트에 접속하여 파일 전송을 수행할 때 사용하는 프로그램이지만, SSH 클라이언트의 일부로 제공되므로, SSH 클라이언트로 호스트에 접속할 수도 있습니다.

그러나, 호스트에 접속하려면 SSH 서버가 실행 중이어야 하고, 호스트에서 SSH 접속을 허용하는 설정이 되어 있어야 합니다. 또한, 인증 및 권한 관리도 필요합니다. 따라서, SFTP를 사용하여 호스트에 접속하기 위해서는 호스트에 대한 관리 권한과 SSH 서버 및 클라이언트의 사용 방법을 이해하고 있어야 합니다.

chroot(change root)를 사용해서 더 이상 파일을 보지 못하도록 해보겠다...!!

해당 명령어는 "tester"라는 사용자를 생성하고, 홈 디렉토리를 "/ftp"로 지정하며, 로그인 쉘을 "/sbin/nologin"으로 설정하는 명령어입니다.
여기서 "-d" 옵션은 사용자의 홈 디렉토리를 지정하는 옵션입니다. "-s" 옵션은 사용자가 로그인할 때 사용할 쉘을 지정하는 옵션입니다. "/sbin/nologin"은 로그인이 불가능한 쉘로, 이를 지정함으로써 해당 사용자로 로그인을 막을 수 있습니다.
따라서, 위 명령어를 실행하면 "tester"라는 사용자가 생성되고, 해당 사용자는 "/ftp" 디렉토리에 홈 디렉토리가 생성됩니다. 또한, 해당 사용자는 로그인할 수 없도록 설정되어 있습니다.

그룹을 만들고 가입히켜주고 확인해본 결과, tester자기자신과 sftp-group에 속해있다.

cp -arp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak (SSH 서버의 설정 파일을 복사해서 백업)

gedit /etc/ssh/sshd_config

/usr/libexec/openssh/sftp-server -> internal-sftp

Subsystem sftp internal-sftp
Match Group sftp-group
ChrootDirectory /secure/%u
ForceCommand internal-sftp

ChrootDirectory /secure/%u 사용자

아까 배운 개념

이럴 때 chroot를 사용하는데 이 명령어는 어느 디렉터리를 가상의 최상위 / 디렉터리로 만들어서 cd ../ 했을 때 더 이상 상위 디렉터리로 이동하지 못하게 해서 보안을 증진시킨다.

즉, secure를 /로 인식하게 해서 더 이상 이동 못하게 해서 보안을 증진시킨다.

[root@centos1 centos]# mkdir -p /secure/ftp
[root@centos1 centos]# ls -dl /secure/ftp
drwxr-xr-x. 2 root root 6 Apr 7 11:54 /secure/ftp

[root@centos1 centos]# chown tester:sftp-group /secure/ftp

"/secure/ftp" 디렉토리의 소유자를 "tester"로, 그룹을 "sftp-group"으로 변경

[root@centos1 centos]# service sshd restart

앗 연결이... 안된다?

연결이 됐다!

ftp에서 cd ..로 상위 디렉터리로 가서 pwd 하면 /로 마치 /로 간 것 같이 보이지만 ls 하면 ftp 밖에 보이지 않는다.

그러나 실제 /에서 볼 수 있는 파일은 아까 봤던

이 파일들이다.

가짜 작대기 루트다.

secure/tester/ftp 인데 secure을 가지도 못한다.

  chcon(change context)과 restorecon
  이 chcon 명령어는 예를 들어 기존 혹은 신규 파일 B의 보안설정을 기존 파일 A의 보안설정을 복사하거나 참조하게 해서 파일 B의 보안 속성설정이 파일 A의 보안 속성설정과 동일하게 설정되게 해주는 기법이다. 보안 속성설정 확인은 'ls –lZ|dZ 파일/디렉터리_명'으로 확인할 수 있다. 이 기법은 SELinux를 enforcing으로 해두어도 콘텍스트가 맞으면 외부에서 서버로 접속되게 해준다.
  그리고 restorecon은 이름대로 변경된 보안 context 속성을 원래대로 복구해준다.

  chcon(change context)
  이 명령어는 SELinux로 보안을 설정 할 때 사용된다. 뒤에서 SELinux를 실습할 때 이 chcon 명령어를 주로 사용할 것이다. 불편하다는 이유로 SELinux 설정을 디폴트 enforcing에서 permissive나 disabled로 해두고 서버 서비스를 운영하는데, 필요해서 개발된 SELinux 보안설정을 무시하고 시스템을 운영하는 것도 사실 잘못된 것이다
  예를 들어 웹 서버를 운영한다면 각종 파일이 있는 웹 디렉터리를 만들고 이 웹 디렉터리의 보안설정을 SELinux가 enforcing인 상태의 보안 설정에 맞게 변경해 주면 웹 디렉터리가 보안이 강화된 상태에서도 잘 운영될 수 있다. 물론 접속하는 사용자도 이 보안 설정에 맞아야 들어올 수 있다.

getsebool -a |head 해서 보았을 때 on으로 되어 있으면 SELinux 설정(Context)과 일치되어야 해당 서비스가 실행될 수 있다. off면 SELinux 설정과 무관하게 서비스사 실행된다는 의미이다.

[root@centos1 centos]# getsebool -a |grep ftp_home_dir
tftp_home_dir --> off

ftp 연결 시 디폴트 홈 디렉토리로 들어오지 않고 다른 곳으로 갈 수 있다.

네, "ftp_home_dir" 보안 규칙이 "off" 상태인 경우에는 FTP 사용자 계정이 홈 디렉토리로 지정한 디렉토리에 대한 액세스 제어가 비활성화되어 있으므로, FTP 사용자가 접근 가능한 디렉토리에 대해서는 SELinux가 관여하지 않습니다. 이 경우, FTP 사용자는 홈 디렉토리가 아닌 다른 디렉토리에 접근할 수 있습니다.

[root@centos1 centos]# getsebool -a |grep mount_anyfile
mount_anyfile --> on

어느 장치든지 마운트 할 때는 SE리눅스가 보안설정(context)와 일치되어야 한다.

예를 들어서 웹으로 들어가서 홈 페이지를 보는 /var/www/html/index.html 이 있는 곳에 SELinux를 Enforcing으로 해두면 이 권한 Context(ls -dZ /var/www/html/으로 확인)에 맞는 사용자만 들어 올 수 있다. 만일 이 Context 권한을 무시하고 들어오려면 SELinux를 Permissive/Disabled로 해두면 된다.

실습

방화벽 http, https를 열고

yum -y install httpd httpd-manual

cp -arp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.bak(복사해서 백업)

gedit /etc/httpd/conf/httpd.conf

웹 서버 httpd의 메인 디렉터리는 /etc/httpd/conf/이다. 여기에 메인 설정파일 httpd.conf 파일이 들어 있다. 하지만 /etc/httpd/conf.d/ 디렉터리도 있어서 주의해야 하는데
sed –n ‘353p’ /etc/httpd/conf/httpd.conf 해서 확인하면
353줄 IncludeOptional conf.d/*.conf 지시어로 인해서 메인이 아닌 /etc/httpd/conf.d/ 디렉터리에 *.conf 파일을 넣어두면 메인 설정파일 /etc/httpd/conf/httpd.conf가 이들을 불러 올려서 함께 실행한다.
/etc/httpd/conf.d/ 아래에 *.conf 파일을 만들어 두면 모든 설정이 메인 설정 파일에 집중되지 않기 때문에 웹 서버 실행이 무겁지 않고, 다양할 설정을 각각 모듈별로 설정해둘 수도 있어서 매우 유연하게 서버를 운영할 수 있다.

예시로 별도로 파일을 만들었다.

메인에다 한다면

이렇게 하면 될 것이다!!

[root@centos1 centos]# apachectl configtest
Syntax OK

오류가 없다.

echo "<h1>This is main web page</h1>" > /var/www/html/index.html 웹페이지 만들기

백트랙에서 접속

다시 실습

웹 디렉토리를 만들고 웹 밑에 홈페이지를 만들었다.

enforcing이라서 들어갈 수 없다.

들어가진다.

현재 디폴트 /var/www/html/index.html  홈피 파일을 SELinux를 enforcing으로 해 둔 상태에서도 외부에서 잘 들어 왔다.
이어서  별도의 /etc/httpd/conf.d/web 디렉터리에 홈피를 만들어서 들어가 본다.

  SELinux=enforcing인데도 외부에서 들어올 수 있었던
ls -dZ /var/www/html/의 컨텍스트를 보면
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/ 이다.
system_u: <=사용자 user is system
object_r: <=역할 role is object
httpd_sys_content_t: <=타입 type is httpd_sys_content <=보안 컨텍스트
s0 <=소스 source is security level 0

  /var/www/html 디렉터리의 컨텍스트를 /web 디렉터리의 컨텍스트로 chcon으로  맞추는 방법은
1) chcon (type 부분을 복사해서 붙여넣기) /web
2) chcon --reference=/var/www/html /web
3) chcon -t 붙여넣기 /web 해주면 된다.

restorecon -R /web
다시 복구하기

  SetUID, SetGID, 그리고 Sticky bit
  Linux를 설치하면 root 소유로 user에 대해서 SetUID, group에 대해서 SetGID, 그리고 other에 대해서 Sticky bit가 설정된 파일들이 만들어진다. root 소유의 파일/디렉터리에 sticky bit가 붙으면 other에게도 root 권한이 있게 되므로 매우 주의해야 한다. 하지만 이들은 실행(x) 권한에 있을 때만 적용되기 때문에 이 속성이 보안상 매우 중요하다. root 사용자와 root 그룹 소유의 파일/디렉터리라도 setUID나 setGID 해주면 일반 사용자도 root 소유/그룹의 파일을 사용할 수 있다.
  chmod 명령어 뒤에 4xxx(SetUID), 2xxx(SetGID), 그리고 1xxx(Sticky bit)를 붙이면 SetUID(user의 x), SetGID(group의 x), 그리고 Sticky bit(other의 t)가 설정되고, 0xxx를 붙이면 이들 설정이 해제된다. SetUID, SetGID, 그리고 Sticky Bit는 실행 x 권한과 관계가 있고 읽기와 쓰기 r, w 등과는 무관하다.

[root@centos1 centos]# ls -dl /tmp
drwxrwxrwt. 46 root root 8192 Apr  7 16:22 /tmp

  이 SetUID, SetGID, 그리고 Sticky bit 기법은
▪ 어느 중요한 설정 파일, 개발 파일, 명령어 등과 같은 파일/디렉터리가 있을 때 이 파일/디렉터리에 대한 권한을 다 없애고 특정 사용자만 이용하게 하거나
▪ 특정 사용자가 만든 파일/디렉터리를 다른 사용자들도 작업하게 하거나
▪ 특정 명령어 사용 제한 등에서 요긴하게 활용될 수 있다.
=>하지만 보안적 위험도 매우 크다!!!!

'📂네트워크&서버 > 🐧리눅스(Linux)' 카테고리의 다른 글

37일차(4.5) 터널링 IP Binding 채널 본딩(channel bonding) 관리 작업 자동화 CRON/AT (0)	2023.04.10
34일차(3.31) setuid s(4xxx), setgid s(2xxx), sitckybit t(1xxx) auth-basic htpasswd (0)	2023.04.10
32일차(3.29) ASG(Astaro Security Gateway) (0)	2023.04.05
31일차(3.28) DenyHosts ModSecurity (0)	2023.03.29
30일차(3.27) 로그워치 fail2ban (0)	2023.03.28

현재글33일차(3.30) chroot(change root) chcon(change context)과 restorecon SetUID, SetGID, 그리고 Sticky bit

🐜개미는 뉴땡 ⋆｡˚ ☁︎ ˚｡⋆｡˚☽˚｡

구 💾$뉴땡9660💿️ → 현👩‍🎓인텔리 감자🥔의 고군분투 블로그 ⋆｡ﾟ☁︎｡⋆｡IT 엔지니어가 되고 싶어요 → 개발자로 목표 변경! 앞으로 꾸준히 업데이트 하도록 하겠습니다 (｡•̀ᴗ-)✧ ☁︎︎⋆｡ ˚✩☁︎︎⋆｡ ˚✩☁︎︎⋆｡ ˚✩☁︎︎⋆｡ ˚✩☁︎︎⋆｡

네트워크, RAID 속도, 클라우드, 공유폴더, CA 인증서, 파이썬, VRRP, 보안 설정과 실습, 클라우드 세미나, 서비스, linux shared folder, 기술워크숍, 형상관리서버, security guide, hsrp, 변수, 클라우드 취준, Python, 비밀번호 인증 우회, RAID 레벨,

Today :
Yesterday :

🐜개미는 뉴땡 ⋆｡˚ ☁︎ ˚｡⋆｡˚☽˚｡